PHP之魔术引号

什么是魔术引号

Warning 本特性已自 PHP5.3.0起废弃并将自PHP5.4.0起移除。

当打开，所有的'(单引号)，"（双引号）， \ （反斜线）和NULL 字符都会被自动加上一个反斜线进行转义。

这和addslashes()作用完全相同。

一共有三个魔术引号指令：

①、magic_quotes_gpc影响到HTTP请求数据（GET,POST和COOKIE）。不能在运行时改变。

在PHP中默认值为on。参见get_magic_quotes_gpc()。

②、magic_quotes_runtime 如果打开的话，

大部份从外部来源取得数据并返回的函数，

包括从数据库和文本文件，所返回的数据都会被反斜线转义。

该选项可在运行的时改变，在 PHP 中的默认值为 off。

参见 set_magic_quotes_runtime() 和 get_magic_quotes_runtime()。

③、magic_quotes_sybase 如果打开的话，将会使用单引号对单引号进行转义而非反斜线。此选项会完全覆盖

magic_quotes_gpc。如果同时打开两个选项的话，单引号将会被转义成 ''。

而双引号、反斜线 和 NULL 字符将不会进行转义。 如何取得其值参见 ini_get()。

为什么要用魔术引号？？？？？？

Warning 本特性已自 PHP 5.3.0 起废弃并将自 PHP 5.4.0 起移除。

①、没有理由再使用魔术引号，因为它不再是 PHP 支持的一部分。

不过它帮助了新手在不知不觉中写出了更好（更安全）的代码。

但是在处理代码的时候，最好是更改你的代码而不是依赖于魔术引号的开启。

为什么这个功能存在？是为了阻止SQL 注入。 在今天，开发者能够更好得意识到了安全问题，

并最终使用数据库转移机制或者 prepared 语句来取代魔术引号功能。

为什么不用魔术引号？？？？？？？？？？？

Warning 本特性已自 PHP 5.3.0 起废弃并将自 PHP 5.4.0 起移除。

①、可移植性 编程时认为其打开或并闭都会影响到移植性。可以用get_magic_quotes_gpc()来检查是否打开，并据此编程。

②、性能 由于并不是每一段被转义的数据都要插入数据库的，如果所有进入PHP的数据库都被转义的话，

那么会对程序的执行效率产生一定的影响。在运行时调用转义函数（如 addslashes()）更有效率。

尽管 php.ini-dist 默认打开了这个选项，但是 php.ini-recommended 默认却关闭了它，主要是出于性能的考虑。

③、不便 由于不是所有数据都需要转义，在不需要转义的地方看到转义的数据就很烦。

比如说通过表单发送邮件，结果看到一大堆的 '。针对这个问题，可以使用 stripslashes() 函数处理。

关闭魔术引号

magic_quotes_gpc指令只能在系统级关闭，不能在运行时。也就是说不能用ini_set()。

在服务器端关闭魔术引号？

①、下面一个通过php.ini文件把这些选项设为off。

②、如果不能修改服务器端的配置文件，使用.htaccess也可以。范例如下：

php_flag magic_quotes_gpc Off

为了能写出移植性较强的代码（可行运行于任何环境），例如不能修改服务器配置的情况，

下面的例子可以在运行时关闭magic_quotes_gpc。但是这样做比较低效，适当的修改配置才是更好的办法。

例如：在运行时关闭魔术引号

if (get_magic_quotes_gpc())

{

function stripslashes_deep($value)

{
    $value = is_array($value) ?
                array_map('stripslashes_deep', $value) :
                stripslashes($value);

    return $value;
}

$_POST = array_map('stripslashes_deep', $_POST);
$_GET = array_map('stripslashes_deep', $_GET);
$_COOKIE = array_map('stripslashes_deep', $_COOKIE);
$_REQUEST = array_map('stripslashes_deep', $_REQUEST);

}